Pegasus Ransomware krypterer offersystemstasjoner

Teamet vårt kom over Pegasus, et løsepengeprogram, mens de gikk gjennom nye fileksempler. Da vi kjørte et utvalg av Pegasus på testmaskinen vår, krypterte den filer og endret navnene deres.

De originale filnavnene ble utvidet med en tilfeldig tegnstreng, for eksempel ble "1.jpg" til "1.jpg.tBC8M", og "2.png" ble til "2.png.qGuj7". Etter å ha fullført krypteringsprosessen, ble en løsepenge med navnet "Ghost_ReadMe.txt" deponert.

Løsepengene varsler offeret om at filene deres er utilgjengelige på grunn av kryptering. Det forsikrer dem om at de kan hente dataene sine ved å kjøpe dekrypteringsverktøyet fra angriperne. Løsepengebeløpet er spesifisert til $350 i Bitcoin kryptovaluta. Ved betaling blir offeret bedt om å fremlegge bevis på transaksjonen, hvoretter de blir lovet å motta dekrypteringsnøkkelen.

Pegasus løsepengenotat krever $350 i betaling

Den fullstendige teksten til "Ghost_ReadMe.txt"-filen generert av Pegasus løsepengeprogramvare lyder som følger:

Oops, Your Files Have Been Encrypted!
We Have Encrypted Your Data With The Strongest.
You Don't Need to worry.

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.

What can I do to get my files back? You can buy the decrypter.
it will leave your pc as it was before the encryption.

How Can I Decrypt Files?

1. You Can Buy Crypto Here: hxxps://www.coinmama.com/
2. Send $350 To Bitcoin Wallet address: 16JpyqQJ6z1GbxJNztjUnepXsqee3SBz75
3. Send Proof of Transaction to Our Email Address to Get a Decryption Tool and Private Key
4. Contact Our email address: ransom.data@gmail.com

Note: Do Not Use Third Party Decryption Tools

Hva er de vanligste angrepsvektorene som brukes av ransomware?

Ransomware kan infiltrere systemer gjennom ulike angrepsvektorer, men noen av de vanligste inkluderer:

Phishing-e-poster: Angripere distribuerer ofte løsepengeprogramvare via phishing-e-poster som inneholder ondsinnede vedlegg eller lenker. Disse e-postene kan etterligne legitime enheter eller organisasjoner, og lokke mottakere til å klikke på lenker eller laste ned vedlegg som inneholder løsepengeprogramvare.

Ondsinnede nettsteder: Ransomware kan distribueres gjennom ondsinnede nettsteder eller kompromitterte legitime nettsteder. Å besøke slike nettsteder eller klikke på ondsinnede annonser kan føre til automatisk nedlasting og kjøring av løsepengevare på offerets system.

Utnyttelsessett: Nettkriminelle utnytter sårbarheter i programvare eller operativsystemer ved å bruke utnyttelsessett for å levere løsepengeprogramvare. Disse settene retter seg mot kjente sårbarheter som ikke er korrigert, og lar angripere få uautorisert tilgang til systemer og distribuere løsepengeprogramvare.

Remote Desktop Protocol (RDP): Angripere kan brute-force RDP-legitimasjon eller utnytte svake passord for å få uautorisert tilgang til systemer eksternt. Når de er inne, kan de distribuere løsepengevare direkte på de kompromitterte systemene.

Drive-By-nedlastinger: Ransomware kan leveres gjennom drive-by-nedlastinger, der malware automatisk lastes ned og installeres på et offers system uten deres samtykke eller viten når de besøker kompromitterte eller ondsinnede nettsteder.

Malvertising: Nettkriminelle kan distribuere løsepengevare gjennom ondsinnede annonser (malvertising) som vises på legitime nettsteder. Ved å klikke på disse annonsene kan du omdirigere brukere til nettsteder som er vert for løsepengeprogram eller starte automatiske nedlastinger av løsepengeprogramvare.

Remote Code Execution (RCE): Sårbarheter i webapplikasjoner eller serverprogramvare kan utnyttes til å kjøre vilkårlig kode eksternt. Angripere kan utnytte RCE-sårbarheter for å distribuere løsepengevare på servere eller nettverksenheter.

Fildelingsnettverk: Ransomware kan spres gjennom peer-to-peer (P2P) fildelingsnettverk eller kompromitterte nettverksdelinger. Infiserte filer som deles gjennom disse nettverkene kan føre til spredning av løsepengevare til andre brukere eller enheter koblet til nettverket.